[发明专利]基于树结构进行异常侦测的方法、装置及相关产品

权利要求书

1.一种基于树结构进行异常侦测的方法，其特征在于，包括：

获取安全服务进程树，所述安全服务进程树根据安全服务进程的变化生成，所述安全服务进程关联于系统操作日志源数据；

根据安全服务进程树，确定所述系统操作日志源数据的上下文关系；

将所述系统操作日志源数据的上下文关系输入到异常侦测模型中；

所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系进行识别以判断所述系统操作日志源数据是否异常。

2.根据权利要求1所述基于树结构进行异常侦测的方法，其特征在于，所述获取安全服务进程树之前，包括：

实时抓取关联于用户实体行为的系统操作日志源数据，并确定控制所述系统操作日志源数据生成的安全服务进程；

确定在生成所述系统操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述系统操作日志源数据的上下文关系。

3.根据权利要求2所述基于树结构进行异常侦测的方法，其特征在于，所述确定在生成所述系统操作日志源数据的过程中所述安全服务进程的变化，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述系统操作日志源数据的过程中所述安全服务进程的变化。

4.根据权利要求2所述基于树结构进行异常侦测的方法，其特征在于，所述根据所述安全服务进程的变化，生成安全服务进程树，以确定所述系统操作日志源数据的上下文关系，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述系统操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的系统操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的系统操作日志源数据。

5.根据权利要求1所述基于树结构进行异常侦测的方法，其特征在于，多个具有先后运行逻辑的异常侦测模型按照分布式架构设置在多个后台服务器上，以使得每台服务器上的异常侦测模型可以基于其异常侦测机制判断所述系统操作日志源数据是否异常。

6.根据权利要求11所述基于树结构进行异常侦测的方法，其特征在于，多个所述异常侦测模型具有级联的逻辑处理关系；对应地，所述异常侦测判断策略根据所述级联的逻辑处理关系确定；所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系进行识别以判断所述系统操作日志源数据是否异常，包括：若上一个异常侦测模型输出表明实时抓取的系统操作日志源数据正常，则由所述上一个异常侦测模型将实时抓取的系统操作日志源数据转发给下一个异常侦测模型对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。

7.根据权利要求11所述基于树结构进行异常侦测的方法，其特征在于，多个所述异常侦测模型具有并行的逻辑处理关系；对应地，所述异常侦测判断策略根据所述级联的逻辑处理关系确定；所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系进行识别以判断所述系统操作日志源数据是否异常，包括：多个所述异常侦测模型并行对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。

8.一种基于树结构进行异常侦测的装置，其特征在于，包括：

进程树获取单元，用于获取安全服务进程树，所述安全服务进程树根据安全服务进程的变化生成，所述安全服务进程关联于系统操作日志源数据；

关系确定单元，用于根据安全服务进程树，确定所述系统操作日志源数据的上下文关系；

关系输入单元，用于将所述系统操作日志源数据的上下文关系输入到异常侦测模型中；

异常侦测单元，用于使所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系进行识别以判断所述系统操作日志源数据是否异常。